找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1479|回复: 0

防火墙安装。。。

[复制链接]
发表于 2009-6-2 23:52:03 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
对于硬件防火墙来说,它们更擅长于保护那些通过宽带连接的PC网络。更重要的是,它们不仅兼具路由功能,还充当了一个NAT(网络地址转换,Net Address Translation)服务器,可以向外来的访问者隐藏局域网中计算机的IP地址。
  仅仅出于这个原因,硬件防火墙就足以成为宽带用户的明智选择,即便是您拥有的只有一台PC而已。这时您不妨购买像Linksys VEFSR41或D-Link DI-704P的4端口路由器,它们的价格不高,大约在300~400元。有的产品还内置了无线接入模块,价格上可能会稍贵一些,您可以在相关的网站上查询详细的信息。   防火墙的选配策略

  硬件防火墙具有高度的可配置性: 它能够阻止指定端口外所有的数据进出。因此,规划和配置硬件防火墙需要做大量的工作。相反,软件防火墙运行在您的PC之上,相对来说比较容易设置和维护。除了阻挡通过开放端口的非法访问外,软件防火墙还可以阻止恶意程序向远端服务器发送数据(就像那些天才少年编写的木马程序、间谍软件以及后门软件等)。

  如果您通过拨号方式连接到Internet,那么外置的硬件防火墙就不见得是您的最好选择,软件防火墙在这方面的优势则十分明显。对于Windows XP用户来说,如果单单通过系统内集成的ICF(Internet Connection Firewall,Internet连接防火墙)来保护PC是比较冒险的。  

  ICF的启用方法是,选择“开始”*“控制面板”*“网络连接”,右键点击需要保护的Internet连接,在快捷菜单中选择“属性”选项,进入“高级”选项卡,选中“通过限制或者阻止来自Internet的对此计算机的访问来保护我的计算机和网络”复选项,点击“确定”按钮即可(如图1所示)。   
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]  虽然这样多少会减轻些系统安全方面的压力,但这样是远远不够的。按照上面的方法设定后,比没有防火墙安全了许多,但是与其他的专业软件防火墙相比,Windows XP内置的防火墙只能对进入连接进行监视。因此,像Back Orifice、NetBus或其他后门程序就会有机可乘,ICF对于这种类型的非法访问是无能为力的。
 免费的PC防火墙
  下面,为您介绍4种安装在PC上的免费防火墙软件,分别是: Kerio Personal Firewall 2、Outpost Firewall Free、Sygate Personal Firewall 5.1、ZoneAlarm 3.7。虽然它们的某些功能特性略有不同,但都为PC带来了全面的安全保障(关于这4款产品的详细情况请参见色块内文《4款完全免费的防火墙》)。
  软件防火墙的安装比较简单,但是它需要有一个短暂的调试时间。在此期间,防火墙软件将会侦测那些可能会连接到远程服务器的应用程序,比如浏览器、Email、网络以及其他的应用程序。
  在某一程序第一次试图连接到远程服务器时,这4款防火墙软件都会自动弹出一个提示对话框,您可以通过点击“是”或“否”按钮来设定是否允许该连接继续进行。而大多数防火墙软件还会提供一个可选项,可以允许用户将设定的选项定义为永久有效,加入到防火墙规则之中(如图2所示)。按照前面的方法正常使用1~2天后,您的防火墙规则就已经比较完善了,这时如果不再安装或升级新的应用程序,您甚至不会感到防火墙的存在。
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]  对防火墙警告恰当的处理方法和有效的规则创建策略是:要明确地了解哪个程序是安全的,而哪个是不安全的。大多数情况下,您可以通过程序的名称来进行判断——像Outlook、Internet Explorer或Netscape等。但是,也有一些程序没有采用常用的名称,比如大多数Windows XP网络特性都由一个名为svchost.exe的程序提供后台支持,但乍一看来,我们很难猜出它是做什么用的。相反,很多间谍软件或者其他的恶意程序为了让自身更加安全,往往会给自己起一个比较常用的名字,例如“clever screensaver”,如果您误以为它是一个屏幕保护程序而允许它进行网络访问,那么它的欺骗目的就达到了。那么,作为防火墙的操作人员我们应该怎样做呢?在此需要提醒您的是,定制严谨的防火墙规则是最重要的。切记首先禁止一切不确定的应用程序访问Internet,因为在此之后,您还有很多机会去修订这些规则。
 其次,如果您无法断定某个程序是否安全,那么请选择一款能够提供更多信息的防火墙吧!除了程序名之外,Kerio和Sygate并不能提供被监测程序的更多线索,反之却提供了很多防火墙之外的功能。因此,他们似乎更适合那些专业用户,对于新手来说,更多的程序信息是十分必要的。
  ZoneAlarm就提供了很多被检测程序的相关信息(如图3所示),并包含了一銮度朐谔崾径曰翱蛑械牧唇影磁ィ?ü???梢缘絑one Lab公司的网站了解关于该程序的详细描述信息。ZoneAlarm同时也提供了一个预配置文件,在缺省状态下允许IE和Windows XP中svchost.exe程序访问Internet,以便最小化用户需要设定的访问程序集
[img]/qzone/newblog/v5/editor/css/loading.gif[/img]  Outpost给出的弹出对话框在默认状态下会创建永久规则,不过您也可以通过点击“Allow Once”或“Block Once”按钮去改变它们。另外,尽管Outpost提供了很多花哨的功能,例如阻止IE的弹出窗口、邮件附件保护等,但是它提供的程序信息并不比Kerio和Sygate多多少。
  调整过滤机制
  在完成了防火墙的基本配置后,您可能还希望改变、删除或者调整这些规则。这4款防火墙软件都可以对规则列表和已知程序进行管理和维护。
  Kerio: 右键单击该程序在系统托盘中的图标,选择“Administration”*“Firewall” * “Advanced”。在已知程序的列表当中,选择需要修改的程序过滤规则,点击“Edit”按钮打开“Filter rule”(过滤规则)对话框。为了切换到程序的缺省状态,选择对话框下方的“Permit”(允许)或者“Deny”(禁止)按钮即可。其他的选项可以用来限制远程服务器的IP地址和该程序所使用的端口号。如果有些规则的设定不太恰当,不妨在此进行修改,最后点击“OK”保存修改即可。  
  Outpost: 右击系统托盘中的“Outpost”图标,选择“Options”*“Application”,在阻止、部分允许和完全信任的程序列表中选择一个程序,单击“Edit”按钮,通过“Always block this app”(总是阻止这个程序)或者“Always trust this app”(总是信任这个程序)选项来调整防火墙的规则列表。最好的解决办法是: 将一个完全信任程序移动到部分阻止列表中(例如,单击“Edit”按钮,并依次选择“choosing Create rules using preset”*“Browser”); 这时该程序就被赋予了访问Internet的权利,但它是在一定的规则约束下工作的。浏览器的相关规则集(Outpost还可以将这些规则应用到Email、即时消息及其他程序中)对那些Web浏览器较少调用的TCP或UDP端口进行了限定,并且将可能来自Web或HTML电子邮件的危害减至最低。
  Sygate: 为了修改防火墙规则,您需要右击系统托盘中的“Sygate”图标,并选择“Applications”选项。在已知程序列表中,右键单击需要修改的程序名称,选择“Allow”或“Block”选项即可。您也可以选择“Ask”选项,这样Sygate会在该程序每次访问Internet时都询问您的意见。
  ZoneAlarm: 为了修改程序的许可状态,右键单击ZoneAlarm系统托盘图标,选择“Restore ZoneAlarm Control Center” (恢复到ZoneAlarm控制中心)选项。在控制中心左侧窗格中选择“Program Control”选项,并进入“Programs”选项卡。在此您可以对每个应用程序的状态进行设定,具体包括4个状态选项: 在Internet和受信任这两个区域中,可以分别定义该程序为“允许访问远程服务器”或者“自行充当服务器”状态。“√”表示允许访问,“×”表示阻止访问,“?”则表示让ZoneAlarm在该程序每次访问网络时进行询问; 最后,在弹出的菜单中选定一个新的缺省动作即可。
  
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|小黑屋|维修人员 ( 鲁ICP备17033090号 )

GMT+8, 2024-12-5 03:08 , Processed in 0.263864 second(s), 16 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表